WanaCrypt0r 2.0 病毒

勒索软件虽不时肆虐网络，但一般而言只要小心钓鱼邮件，勿胡乱开启不明附件就能避免“中招”。然而，自周五起不少网络安全公司发现全球多个国家和地区的机构及个人电脑遭受名为“WanaCrypt0r 2.0”的勒索软件攻击感染，有别于以往的攻击方式，据了解该勒索软件是直接透过系统漏洞进行攻击，除 Windows 10 及 Server 2016 外，近乎所有 Windows 系统及其服务器版本均受威胁，安全专家呼吁用户尽快安装官方发布的安全性更新，避免机构及个人电脑受感染。

WanaCrypt0r 2.0 直接攻击系统漏洞　不足 24 小时席卷全球 99 国

据防毒软件公司 Avast Software 最新公布的数字，目前已在全球 99 个国家侦测到超过 75,000 宗 “WanaCrypt0r 2.0”（又名 WannaCry） 的攻击个案，而在 Kaspersky 安全研究及分析团队侦测到的 45,000 宗攻击个案中，中国香港、中国台湾和中国大陆亦同属首十位攻击分布最高的国家及地区。全球范围受影响的更不乏大型企业及政府机构，如英国国家卫生事务局 (NHS) 旗下多间医院及西班牙电信公司 Telefonica 等。

今次肆虐全球的“WanaCrypt0r 2.0”一如过往勒索软件的运作模式，当受害者的电脑遭受感染后，所有档案均被加密成副档名为 .WNCRY 的格式，无法正常开启读取资料。档案加密后亦会弹出相应界面指示受害者需在三天内交付价值 300 美元的 Bitcoin 赎金，逾期加倍，若未能在七天内交付则再无法恢复档案。勒索软件的界面更包括简繁中文在内的 28 种不同语言，明显针对全球各地用户。

有别于过往透过钓鱼邮件感染的方式，不少受害者在网上回报指在正常使用电脑的情况下突然弹出相关勒索界面。据了解“WanaCrypt0r 2.0”是透过 Windows 系统内名为 EternalBlue 的 Windows SMB 远端执行程序码弱点进行攻击，成功利用弱点的攻击者有机会获得在目标服务器上执行程序码的能力。

去年黑客团队 Shadow Brokers 曾声称成功入侵美国国家安全局（NSA）旗下的秘密网络攻击组织 Equation Group，并发布各种攻击工具。当中就涉及众多尚未揭露的产品漏洞，被指可用于攻击、入侵除 Windows 10 及 Windows Server 2016 以外，Windows XP 至 Windows 8 及其各自对应的服务器版本系统，其中就包括 EternalBlue、EmeraldThread 等多个漏洞。而微软亦已于今年三月中发布针对 Windows SMB Server 的安全性更新 (MS17-010)，修复相关安全漏洞。

然而，由于不少机构及个人用户未有定期安装 Windows 系统更新的习惯，导致今次“WanaCrypt0r 2.0”能快速感染多个国家及地区的电脑。安全专家亦呼吁机构和个人用户尽快安装微软官方发布的 MS17-010 安全更新，确保修补今次攻击中使用到的 SMB 服务器漏洞。不过值得留意的是，由于微软早已停止 Windows XP 系统的技术支持，因此相关更新未有提供。

Source:  The Guardian  The Hacker News Kaspersky Lab  Avast Microsoft TechCenter